PHP開発における保険予防の知識

PHP 開発におけるセキュリティ防止の知識
PHP コード セキュリティ、XSS、SQL インジェクションなどは、さまざまな Web サイト、特に UGC (User Generated Content) Web サイト、フォーラム、電子商取引 Web サイトのセキュリティに非常に役立ちます。多くの場合、XSS は SQL インジェクションの最も大きな打撃を受ける領域です。ここでは、システム セキュリティと比較して、PHP セキュリティ防止では、ユーザーが入力するさまざまなパラメータについてより注意する必要があります。

PHP コンパイル時のセキュリティ

Suhosin パッチのインストールを推奨し、セキュリティ パッチもインストールする必要があります

php.ini セキュリティ設定

Register_global = オフ

magic_quotes_gpc = オフ

display_error = オフ

log_error = オン

#allow_url_fopen = オフ

expose_php = オフ

open_basedir =

セーフモード = オン

disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var

safe_mode_include_dir =

DB SQL 前処理

mysql_real_escape_string (多くの PHPer は SQL インジェクションを防ぐために依然として addslashes に依存していますが、この方法は中国語のエンコードでは依然として問題があります。addslashes の問題は、ハッカーが一重引用符の代わりに 0xbf27 を使用できることです。0xbf27 は GBK エンコードでは有効な文字ではないため、addslashesこれは、0xbf5c27 を有効なマルチバイト文字にするだけです。この場合、0xbf5c は依然として一重引用符とみなされます (詳細については、この記事を参照してください)。 mysql_real_escape_string 関数を使用する場合は、正しい文字セットを指定する必要もあります。指定しないと、依然として問題が発生する可能性があります。

準備 + 実行(PDO)

ZendFramework は、mysql
のみに使用できる mysql_real_escape_string とは異なり、DB クラスの quote または quoteInto を使用できます。
ユーザー入力の処理

HTML タグを保持する必要がない場合は、次のメソッドを使用できます

ストリップタグ、文字列
内のすべての HTML タグを削除します
htmlspecialchars、文字「<」、「>」、「;」、「'」
のみをエスケープします
htmlentities、すべての HTML をエスケープ

HTML タグを保持する必要がある場合は、次のツールを検討できます:

HTML Purifier: HTML Purifier は、PHP で書かれた標準準拠の HTML フィルター ライブラリです。

PHP HTML Sanitizer: HTML コードから安全でないタグと属性を削除します

htmllawed: HTML を浄化およびフィルタリングするための PHP コード

ファイルをアップロード

is_uploaded_file 関数と move_uploaded_file 関数を使用し、HTTP_POST_FILES[] 配列を使用します。また、アップロード ディレクトリの PHP 解釈機能を削除することで、ユーザーが PHP スクリプトをアップロードできないようにします。

ZF フレームワークでは、File_upload モジュール
の使用を検討できます。
セッション、Cookie、フォームのセキュリティ処理

重要な情報は、送信する前に暗号化する必要があります。たとえば、送信するフォーム要素は次のとおりです。


<input type="hidden" name="H[name]" value="<?php echo $Oname?>"/><input type="hidden" name="H[age]" value ="<?php echo $Oage?>"/> <?php $sign = md5('name'.$Oname.'age'.$Oage.$secret) ?<入力タイプ="hidden" name="hash" value="<?php echo $sign?>"" />

POST から戻った後にパラメータを確認します

$str = "";

foreach($_POST['H'] as $key=>$value) {

$str .= $key.$value;

}

if($_POST['hash'] != md5($str.$secret)) {

echo "非表示のフォームデータが変更されました";

}

PHP セキュリティ検出ツール (XSS および SQL 挿入)

Wapiti - Webアプリケーションセキュリティ監査(Wapiti - コンパクトサイト脆弱性検出ツール) (SQLインジェクション/XSS攻撃検出ツール)

アン・ヤン/使い方:

apt-get install libtidy-0.99-0 python-ctypes python-utidylib

python wapiti.py http://あなたのウェブサイトのURL/ -m GET_XSS

Pixy: PHP 用 XSS および SQLI スキャナー (Pixy - PHP ソース コード欠陥分析ツール)

アン・ヤン: apt-get install default-jdk